El descubrimiento de un Troyano, que infecta Skype, la aplicación de telefonía VoIP, podría indicar que los ataques dirigidos están avanzando junto con la creciente popularidad de VoIP.
Recientemente se descubrió un gusano que ataca a los usuarios de la popular aplicación de telefonía VoIP Skype en la región de Asia Pacífico, especialmente en Corea. De acuerdo con Websense, el gusano utiliza Skype Chat para descargar y ejecutar un archivo llamado sp.exe. Al parecer, el archivo deposita un Troyano que roba contraseñas con un gusano integrado que utiliza NTKrnl Secure Suite, una compresión rara pero no desconocida.
“La buena noticia es que aún no se ha reportado una amplia propagación en México y Latinoamérica”, señaló Luis Fernando Garzón, Gerente Colombia de Trend Micro. “Aunque eso no significa que los usuarios de Skype deban despreocuparse y dar clic en los enlaces que reciben mientras conversan”.
Ya que el software espía no parece explotar algún defecto de Skype, se requiere de la intervención del usuario para enviar el enlace a los contactos disponibles de un cliente infectado de Skype. Se le notifica al usuario infectado que un programa está tratando de tener acceso y que tiene que aceptarlo. Por lo tanto, los usuarios no deben permitir que programas sospechosos tengan acceso a Skype y deben evitar también dar clic en los enlaces que provengan de fuentes inesperadas.
Actualmente Trend Micro identifica el componente que roba contraseñas como TSPY_SKPE, que no es el primer código malicioso o software espía que utilia Skype: en octubre pasado se detectó WORM_SKYPERISE.A.
“La diferencia es que este spyware ya emplea una rutina más maliciosa (robo de información), en comparación con el gusano reportado en octubre que sólo propagaba copias de sí mismo a otros usuarios”, afirmó Garzón.
A pesar del hecho de que la técnica de propagación de este gusano es común, obviamente VoIP se está convirtiendo en un buen prospecto como un nuevo vector de código malicioso el cual los autores maliciosos pueden aprovechar. Además, la rutina para el robo de contraseñas, la compresión polimórfica para evitar la detección, y un país de origen específico indican que es un ataque localizado/dirigido con fines de lucro.
Trend Micro ya detecta este spyware usando el archivo de patrones más recientes. De acuerdo con las instrucciones manuales para eliminarlo, los usuarios afectados simplemente pueden eliminar el archivo detectado y quitar el registro que la entrada crea.
El spyware troyano está hospedado en un sitio Web malicioso. A través de la función de Chat se envía un enlace al sitio a los contactos de Skype, urgiendo a los usuarios dar clic en él. Puede utilizar una forma de ingeniería social al hacerse pasar por un “programa interesante”. Al momento de desarrollar este boletín, el sitio ya no estaba disponible.
El análisis inicial de la muestra que recibió Trend Labs revela que este software espía es un keylogger típico; roba la secuencia de teclas del usuario y guarda los datos recopilados en un archivo de texto. Esta rutina puede dar a los usuarios maliciosos, que pueden incluir hackers remotos, acceso no autorizado a la cuenta Skype de un usuario infectado, posiblemente cuentas bancarias en línea y más.
Ya que hasta ahora el laboratorio de Trend Micro ha recibido sólo dos casos, por lo que se puede considerar aún un incidente aislado.
“De acuerdo con nuestros ingenieros de Trend Labs, se reportan pocos casos debido en parte a que la función de escaneo en tiempo real de nuestros productos (House Call) ya detecta y elimina este software espía”, afirmó Luis Fernando Garzón. “También puede ser una señal de que los usuarios de Skype son lo suficientemente inteligente para NO dar clic sobre un enlace sospechoso, o que los autores de código malicioso simplemente están probando quiénes son víctimas de sus fechorías”.
Probablemente veremos amenazas adicionales para VoIP en el futuro. Después de todo, el Vishing (phishing sobre VoIP) ya está rondando por Internet. Y Wikipedia incluye una entrada (http://en.wikipedia.org/wiki/VoIP_spam) para “un problema aún no existente” de spam vía VoIP, llamado SPIT (Spam over Internet Telephony). Esperemos amenazas para VoIP similares, si no es que más sofisticadas, en el futuro.